Как автоматически удалить историю Flash / приватный след? Или остановить Flash от его хранения?


47

Многие люди слышали о сторонних куки, а некоторые браузеры даже блокируют их по умолчанию. Некоторые люди могут даже использовать режимы приватного просмотра. Однако лишь немногие, похоже, понимают, что проигрыватель Adobe Flash также оставляет кросс-браузерный след на локальном жестком диске и позволяет отправлять информацию, похожую на cookie, обратно на сервер, включая сторонние сайты. И поскольку это плагин, Flash не учитывает какие-либо настройки конфиденциальности браузера.

Извините за длинный пост, но сначала некоторые подробности о том, почему использование Flash вызывает озабоченность по поводу конфиденциальности, а затем результаты моих тестов:

  • Проигрыватель Flash хранит историю кросс-браузерных имен доменов Flash-сайтов, которые посещал ваш компьютер. В отличие от истории вашего браузера, эта история не ограничивается определенным количеством дней. История также записывается при использовании так называемых приватных режимов просмотра. Он хранится на вашем жестком диске (хотя, как описано ниже, не заходя на сайт Adobe, вы не узнаете, что хранится).
  • Я не уверен, хранится ли какая-либо информация о дате и времени о каждом посещении, но чтобы увидеть имена доменов: щелкните правой кнопкой мыши по некоторому содержимому Flash, откройте диалоговое окно настроек и нажмите значок справки или нажмите кнопку « Дополнительно» на вкладке « Конфиденциальность ». , Это открывает браузер для страниц справки на Adobe.com, где можно перейти на панель настроек хранилища сайта .
  • Можно очистить существующий список, но нельзя остановить его повторную запись.
  • Flash позволяет хранить данные на вашем локальном жестком диске, используя так называемые локальные общие объекты (также называемые «Flash Cookies»). Как и файлы cookie HTTP, эти данные могут быть отправлены обратно на сервер для отслеживания. Они являются кросс-браузерными, не имеют даты истечения срока действия, и в настройках Flash также нельзя установить максимальное время жизни, определенное пользователем. Они не являются куки-файлами HTTP, они (конечно) не блокируются настройками куки-файлов браузера и не удаляются при удалении обычных куки-файлов HTTP. Adobe объявила, что версия 10.1 будет подчиняться приватному просмотру в большинстве популярных браузеров, но, к сожалению, нет ни слова об удалении данных, когда обычные куки удаляются вручную. И его реализация может сбивать с толку:

    [..] если браузер находится в обычном режиме просмотра при создании экземпляра Flash Player, то этот конкретный экземпляр всегда будет в обычном режиме просмотра (закрытый просмотр отключен). Соответственно, включение или отключение частного просмотра без обновления страницы или закрытия окна частного просмотра не повлияет на Flash Player.

  • Локальные общие объекты не ограничиваются посещаемым сайтом, и стороннее хранилище включено по умолчанию. На панели « Глобальные параметры хранения» можно отменить выбор по умолчанию « Разрешить стороннему Flash-содержимому хранить данные на вашем компьютере» . Из-за кросс-браузерности и природы без истечения срока действия (и того факта, что об этом знают немногие), я считаю, что кросс-браузерные сторонние Flash-файлы cookie более опасны для отслеживания посетителей, чем обычные сторонние cookie-файлы HTTP. Они даже используются для восстановления простых файлов cookie HTTP, которые пользователь пытался удалить:

    «Все рекламодатели, веб-сайты и сети используют файлы cookie для целевой рекламы, но файлы cookie подвергаются атакам. Согласно текущему исследованию, они стираются 40% пользователей, создавая серьезные проблемы», - говорит Муки Тенембаум, основатель United Virtualities. «Начиная от простого ограничения частоты показов и заканчивая более сложным поведенческим таргетингом, файлы cookie являются неотъемлемой частью любой рекламной кампании в Интернете. PIE [« Элемент постоянной идентификации »] даст издателям и сторонним поставщикам постоянную резервную копию файлов cookie, что делает их неприступными » , добавляет Tenembaum.

    [..] Чтобы оправдать этот механизм отслеживания, Тенембаум из UV сказал: «Пользователь недостаточно разбирается в технологиях, чтобы знать, является ли файл cookie хорошим или плохим, или как он работает».

  • При выборе Нет (ноль КБ) для Укажите объем дискового пространства, которое веб-сайты веб-сайтов, которые вы еще не посещали, могут использовать для хранения информации на вашем компьютере , и установите флажок Никогда не спрашивать, тогда некоторые сайты не будут работать. Тем не менее, тот же сайт может работать, если для него установлено значение Нет, но без выбора Никогда не спрашивать снова , а затем выбрать Запретить при появлении соответствующего запроса . Обе опции приведут к тому, что данные будут пустыми, но их поведение будет разным.
  • Плагин также предоставляет кэш Flash Player для файлов, подписанных Adobe. Я думаю, что эти файлы не проблема.

Итак: как автоматически удалить эту информацию?

На Mac можно найти settings.solфайл и папку для каждого посещенного Flash-сайта в:

$ HOME / Библиотека / Настройки / Macromedia / Flash Player / macromedia.com / support / flashplayer / sys /

Удаляя settings.solфайл и все папки в нем sys, удаляет след с панелей настроек. Тем не менее, фактические локальные общие объекты находятся в другом месте (см. Википедию для определения местоположения в других операционных системах), в случайно названной подпапке:

$ HOME / Библиотека / Настройки / Macromedia / Flash Player / # SharedObjects

Но тогда: как удалить это автоматически? Простое удаление папок и settings.solфайла время от времени (например, с помощью launchdили планировщика задач Windows) может помешать активным браузерам. Или можно с уверенностью предположить, что, учитывая кросс-браузерную природу, плагину не будет интересно, удаляются ли вещи, пока он активен? Только очистка при выходе из системы может не работать для тех, кто находится в спящем режиме все время.

Пользователи Firefox могут установить BetterPrivacy или Objection, чтобы удалить локальные общие объекты (также и для всех остальных браузеров). Я не знаю, если это также удаляет след доменных имен веб-сайта.

Или: как остановить Flash от сохранения истории?

Смена планов: в настоящее время я тестирую, запрещаю Flash записывать в свои sysи #SharedObjectsпапки. До сих пор Flash не пытался восстановить разрешения (хотя при удалении папок Flash, разумеется, воссоздает их). Я не столкнулся с какими-либо проблемами, но это может занять некоторое время для проверки с использованием нескольких браузеров и сайтов. Я еще не нашел журнал, который сообщает об ошибках. На Mac:

cd "$ HOME / Библиотека / Настройки / Macromedia / Flash Player / macromedia.com / support / flashplayer"
rm -r sys / *
chmod uw sys

cd «$ HOME / Library / Preferences / Macromedia / Flash Player»
# сохраняет подпапки со случайным именем (достаточно только сохранить последние; см. ниже)
rm -r \ #SharedObjects / * / *
chmod -R uw \ #SharedObjects

Я предполагаю, что вышеупомянутые chmods не могут быть достигнуты на старой системе Windows (я не уверен насчет XP и Vista?). Хотя, возможно, в Windows можно было бы заменить папки sys и #SharedObjectsфиктивные файлы с такими же именами? Кто угодно?

Очевидно, что удержание Flash от хранения этих локальных общих объектов для всех сайтов может вызвать проблемы. Некоторые результаты теста (Flash 10 на Mac OS X):

  • При блокировании sysпапки (даже если она остается #SharedObjectsдоступной для записи), YouTube не запоминает настройки громкости при просмотре нескольких видео. Решает это временное разрешение доступа на запись к заблокированным папкам во время посещения доверенных сайтов (чтобы создавать папки только для тех доменов, которые вам нравятся, возможно, включая ссылки в settings.sol) Таким образом, для YouTube Flash может быть разрешено писать в sys/#s.ytimg.comи #SharedObjects/s.ytimg.com, в то время как Flash не может создавать новые папки для других доменов. Также может потребоваться сделать settings.solдоступным только для чтения или удалить его снова.
  • При блокировании папок sysи #SharedObjectsпапок YouTube и Vimeo работают нормально (хотя они могут не помнить никаких настроек). Однако Bits on the Run отказывается даже показывать видеоплеер. Это решается путем временного разблокирования #SharedObjectsпапки, чтобы позволить Flash создать подпапку с произвольным именем. В этой папке будет создана еще одна папка для текущего веб-сайта Flash ( content.bitsontherun.com). Удаление этой папки, специфичной для веб-сайта, и блокирование обеих #SharedObjectsи случайно выбранной подпапки, по-прежнему, позволяют Bits on the Run работать, даже если он по-прежнему не может ничего записать на диск. Итак: существование случайно названной подпапки (даже если защищена от записи) важно для некоторых сайтов.
  • Когда я впервые нашел #SharedObjectsпапку, в ней было много подпапок со случайными именами, некоторые из которых были созданы в тот же день. Интересно, когда Flash решает, что хочет новую папку, и как она определяет (и запоминает) это случайное имя.
  • На мгновение я решил не блокировать доступ для записи sysи #SharedObjects, а явно создавать папки только для чтения для известных сторонних отслеживаемых доменов (например, на основе списка, например, из AdBlock Plus). Таким образом, любой другой домен может создавать локальные общие объекты. Но список будет длинным, и домены из AdBlock Plus, вероятно, все равно являются сторонними доменами, поэтому отключение функции « Разрешить стороннему Flash-контенту для хранения данных на вашем компьютере» может иметь тот же результат.

Есть опыт?

(Заключительные примечания: если приведенные выше ссылки на панели настроек не будут работать в будущем, используйте в качестве отправной точки URL-адрес, известный Flash Player: www.adobe.com/go/settingsmanager . См. Также « Вы удалили свой Файлы cookie? Подумайте еще раз »на Wired.com, который также использует файлы cookie Flash… Для очень подозрительного использования Time Machine: вы можете исключить обе папки для каждого пользователя и удалить след, который уже находится на вашем резервный.)


14
Я считал эту проблему серьезным недостатком дизайна браузера с тех пор, как впервые столкнулся с ней. Идеальным решением будет для веб - браузера плагин интерфейсов либо быть расширен , чтобы браузер мог сказать все плагины , чтобы очистить их соответствующие кэши, или требуют плагинов , чтобы поместить их кэши в папке браузера можно очистить , когда он хочет к. Пока разработчики браузеров не решат эту проблему для нас, ваш вопрос очень актуален.
Крис В. Ри

И я полагаю, что временное решение может быть простым предупреждением при изменении настроек файлов cookie или истории или при запуске какого-либо режима частного просмотра. Но прежде всего я обвиняю Adobe в том, что по умолчанию разрешено стороннее хранилище.
Арджан

Хм, кое-что, что мне нужно посмотреть в один день: отсроченные куки-файлы YouTube - не связанные с Flash, если только они не являются Flash-файлами cookie. google.com/support/youtube/bin/answer.py?answer=141046
Арджан,

См. Также «Флэш-файлы cookie и конфиденциальность» по адресу paper.ssrn.com/sol3/papers.cfm?abstract_id=1446862 с его аннотацией. Мы обнаружили, что более 50% сайтов в нашем примере используют флэш-куки для хранения информации о Пользователь. Некоторые используют его для «возрождения» или создания экземпляров HTTP-файлов cookie, удаленных пользователем. Флэш-куки часто имеют те же значения, что и HTTP-куки, и даже используются на государственных веб-сайтах для назначения уникальных значений пользователям. Политики конфиденциальности редко раскрывают информацию о наличии файлов cookie Flash, а пользовательские элементы управления для выполнения настроек конфиденциальности отсутствуют.
Арджан

2
Adobe изучает: с января 2011 года « Об улучшении конфиденциальности: управление локальным хранилищем в Flash Player» : представители нескольких ключевых компаний, в том числе Adobe, Mozilla и Google, работают вместе над определением нового API браузера (NPAPI ClearSiteData) для очистки локальных данных, которое был одобрен для реализации 5 января 2011 года. Любой браузер, который реализует API, сможет очистить локальное хранилище для любого плагина, который также реализует API.
Арджан

Ответы:


5

Я реализовал решение, которое вы описали на Mac несколько месяцев назад. Это действительно препятствовало отслеживанию, но оно препятствовало тому, чтобы несколько более сложных приложений Flash (что-либо с постоянством между сеансами, наиболее очевидно Flash-игры с отслеживанием прогресса) работали правильно или вообще работали. В конце концов я устал от устранения неполадок и снял блокировки папок.

Мое временное решение использует блокировщик Flash. Поскольку я загружаю Flash-объекты только для сайтов, которым я доверяю (например, YouTube ), проблемы конфиденциальности смягчаются, если не удаляются.


Когда вы ответили, в моем вопросе упоминалась только sysпапка. Тем временем Википедия также помогла мне найти #SharedObjectsпапку. Какую папку вы заблокировали?
Арджан

Я думаю, что я заблокировал ~ ~ Library / Preferences / Macromedia / Flash \ Player. Это предотвратило запись в 'sys' и '#SharedObjects', но это было не очень тонко!
отредактировано

Какой Flash Blocker вы используете?
Алекс

@alex - rentzsch.github.com/clicktoflash отлично работает для Safari / Webkit. Никаких взломов не требуется!
отредактировано

Второе предложение @ redacted (ClickToFlash) - работает фантастически.
Алекс

12

Если вы используете Firefox, то у вас есть расширение BetterPrivacy . Удаляет LSO во время выхода. И, конечно, вы можете использовать Flashblock или NoScript для дополнительной безопасности.

Обновление : начиная с 10.1 Flash не сохраняет LSO, если вы находитесь в режиме приватного просмотра.


Люблю лучше, личную жизнь. Установите и забудьте.
Трэвис

Неверное обновление. Она не сохраняет третье партии LSO - х. Это действительно довольно презренная часть программного обеспечения.
Chiggsy

@chiggsy, я не могу подтвердить, что он только запрещает сторонним LSO в режимах конфиденциальности. Я тестировал Flash 11.0.1.152 в последних версиях Safari и Chrome на OS X Lion. Да, все, что хранится, доступно во время того же сеанса (но не в других браузерах). Но данные, похоже, не хранятся на диске. Я не проверял, верно ли предыдущее утверждение Adobe: [..] включение или отключение приватного просмотра без обновления страницы или закрытия окна приватного просмотра не повлияет на Flash Player.
Арьян

Что касается BetterPrivacy, то он не только поддерживает очистку при выходе (что я редко когда-либо делал с моими браузерами), но также: [...] или с помощью настраиваемой функции таймера, в то время как определенные желаемые файлы cookie Flash могут быть исключены из автоматического удаления .
Арьян

3

Я думаю, что на Windows CCleaner это очистит.


1
Действительно, это так, хотя я не мог легко найти эту информацию на www.ccleaner.com - но вы правы, она есть в журналах изменений по адресу ccleaner.com/download/version-history (которые немного странные, так как поддержка очистки Flash Player, кажется, была добавлена ​​в нескольких выпусках ...?)
Arjan

2

Я создал скрипт запуска Mac OS X, который постоянно удаляет ваши флеш-куки.

Просто замените REPLACEME на свое имя пользователя и сохраните этот файл в ~ / Library / LaunchAgents / RemoveFlashCookies.plist. Перезапустите, чтобы загрузить скрипт.

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>  
    <key>Label</key>
    <string>Remove Flash Cookies</string>
    <key>ProgramArguments</key>
    <array> 
        <string>rm</string>
        <string>-rf</string>
        <string>/Users/REPLACEME/Library/Preferences/Macromedia</string>
    </array>
    <key>OnDemand</key>
    <false/>
    <key>RunAtLoad</key>
    <true/>
</dict>
</plist>

Я думаю, что ключ WatchPaths для launchd очень помог бы здесь. Вместо занятого цикла просто запустите задание, когда путь будет обновлен.
Chiggsy

1

Просто идея:

Попробуйте использовать:

hdiutil -shadow   # lots more besides this, I just thought of  it.

и установка путей только для чтения. Позволяет Flash записывать в теневой файл и поддерживать известное состояние этого каталога. Я собираюсь попробовать то же самое с TopSites и этой базой изображений веб-страниц, которые делает Safari.

Почему?

Потому что я не хочу стирать данные. Я хочу отправить им обратно измененные данные. Таким образом, я тоже могу играть в эту интеллектуальную игру.


Только сегодня я увидела твой пост! Вы действительно это реализовали? Любые забавные детали, чтобы поделиться?
Арджан
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.